Сьогодні ми трохи глибше копнемо тему захисту бездротового з'єднання. Розберемося, що таке його ще називають «автентифікацією» і який краще вибрати. Напевно, при вам траплялися на очі такі абревіатури, як WEP, WPA, WPA2, WPA2/PSK. А також їх деякі різновиди - Personal або Enterprice та TKIP або AES. Що ж, давайте докладніше вивчимо їх усі і розберемося, який тип шифрування вибрати для забезпечення максимальної швидкості без втрати.
Зазначу, що захищати свій WiFi паролем потрібно обов'язково, не важливо який тип шифрування ви при цьому виберете. Навіть найпростіша автентифікація дозволить уникнути у майбутньому досить серйозних проблем.
Чому я так говорю? Тут навіть справа не в тому, що підключення безлічі лівих клієнтів гальмуватиме вашу мережу - це тільки квіточки. Головна причина в тому, що якщо ваша мережа незапаролена, то до неї може присмоктатися зловмисник, який з-під вашого роутера вироблятиме протиправні дії, а потім за його дії доведеться відповідати вам, так що поставтеся до захисту wifi з усією серйозністю.
Шифрування WiFi даних та типи аутентифікації
Отже, у необхідності шифрування мережі wifi ми переконалися, тепер подивимося, які типи бувають:
Що таке WEP захист wifi?
WEP(Wired Equivalent Privacy) - це перший стандарт, що з'явився, який за надійністю вже не відповідає сучасним вимогам. Всі програми, налаштовані на злам мережі wifi методом перебору символів, спрямовані переважно саме на підбір WEP-ключа шифрування.
Що таке ключ WPA чи пароль?
WPA(Wi-Fi Protected Access) — сучасніший стандарт аутентифікації, який дозволяє досить надійно захистити локальну мережу та інтернет від нелегального проникнення.
Що таке WPA2-PSK - Personal або Enterprise?
WPA2- Удосконалений варіант попереднього типу. Злом WPA2 практично неможливий, він забезпечує максимальний рівень безпеки, тому у своїх статтях я завжди без пояснень говорю про те, що потрібно встановлювати саме його — тепер ви знаєте, чому.
У стандартів захисту WiFi WPA2 і WPA є ще два різновиди:
- Personal, позначається як WPA/PSK або WPA2/PSK. Цей вид найширше використовується і оптимальний для застосування в більшості випадків - і вдома, і в офісі. У WPA2/PSK ми задаємо пароль не менше ніж 8 символів, який зберігається в пам'яті того пристрою, який ми підключаємо до роутера.
- Enterprise— складніша конфігурація, яка потребує включеної функції RADIUS на роутері. Працює вона за принципом, тобто для кожного окремого гаджета, що підключається, призначається окремий пароль.
Типи шифрування WPA - TKIP або AES?
Отже, ми визначилися, що оптимальним вибором для безпеки мережі буде WPA2/PSK (Personal), однак у нього є ще два типи шифрування даних для аутентифікації.
- TKIP— сьогодні це вже застарілий тип, проте він все ще широко вживається, оскільки багато девайсів енну кількість років випуску підтримують тільки його. Не працює з технологією WPA2/PSK та не підтримує WiFi стандарту 802.11n.
- AES— останній зараз і найнадійніший тип шифрування WiFi.
Який тип шифрування вибрати і поставити ключ WPA на WiFi роутері?
З теорією розібралися – переходимо до практики. Оскільки стандартами WiFi 802.11 B і G, у яких максимальна швидкість до 54 мбіт/с, вже давно ніхто не користується - сьогодні нормою є 802.11 N або AC, які підтримують швидкість до 300 мбіт/с і вище , то розглядати варіант використання захисту WPA/PSK із типом шифрування TKIP немає сенсу. Тому, коли ви налаштовуєте бездротову мережу, то виставляйте за замовчуванням
WPA2/PSK - AES
Або, на крайній випадок, як тип шифрування вказуйте «Авто», щоб передбачити підключення пристроїв зі застарілим WiFi модулем.
При цьому ключ WPA, або просто кажучи, пароль для підключення до мережі, повинен мати від 8 до 32 символів, включаючи англійські малі та великі літери, а також різні спецсимволи.
Захист бездротового режиму на маршрутизаторі TP-Link
На наведених вище скрінах показана панель керування сучасним роутером TP-Link у новій версії прошивки. Налаштування шифрування мережі тут знаходиться в розділі «Додаткові параметри — Бездротовий режим».
У старій «зеленій» версії конфігурації WiFi мережі, що цікавлять нас, розташовані в меню « Бездротовий режим — Захист«. Зробите все, як на зображенні – буде супер!
Якщо ви помітили, тут ще є такий пункт, як «Період оновлення групового ключа WPA». Справа в тому, що для забезпечення більшого захисту реальний цифровий ключ WPA динамічно змінюється для шифрування підключення. Тут визначається значення в секундах, після якого відбувається зміна. Я рекомендую не чіпати його і залишати за замовчуванням - у різних моделях інтервал оновлення відрізняється.
Метод автентифікації на роутері ASUS
На маршрутизаторах ASUS усі параметри WiFi розташовані на одній сторінці «Бездротова мережа»
Захист мережі через руотер Zyxel Keenetic
Аналогічно і у Zyxel Keenetic – розділ «Мережа WiFi – Точка доступу»
У роутерах Keenetic без приставки Zyxel зміна типу шифрування проводиться в розділі «Домашня мережа».
Налаштування безпеки роутера D-Link
На D-Link шукаємо розділ « Wi-Fi — Безпека»
Що ж, сьогодні ми розібралися типами шифрування WiFi та з такими термінами, як WEP, WPA, WPA2-PSK, TKIP та AES і дізналися, який з них краще вибрати. Про інші можливості безпеки мережі читайте також в одній з минулих статей, в яких я розповідаю про MAC та IP адреси та інші способи захисту.
Відео з налаштування типу шифрування на маршрутизаторі
Останнім часом з'явилося багато «викривальних» публікацій про зламування будь-якого чергового протоколу чи технології, що компрометує безпеку бездротових мереж. Чи так це насправді, чого варто боятися і як зробити, щоб доступ до вашої мережі був максимально захищений? Слова WEP, WPA, 802.1x, EAP, PKI мало що значать для вас? Цей невеликий огляд допоможе звести докупи всі застосовувані технології шифрування та авторизації радіо-доступу. Я спробую показати, що правильно налаштована бездротова мережа є непереборним бар'єром для зловмисника (до певної межі, звичайно).
Основи
Будь-яка взаємодія точки доступу (мережі) та бездротового клієнта побудована на:- Аутентифікації- як клієнт та точка доступу представляються один одному і підтверджують, що вони мають право спілкуватися між собою;
- Шифрування- який алгоритм скремблювання даних, що передаються, застосовується, як генерується ключ шифрування, і коли він змінюється.
Параметри бездротової мережі, в першу чергу її ім'я (SSID), регулярно анонсуються точкою доступу в широкомовних пакетах. Крім очікуваних налаштувань безпеки, передаються побажання по QoS, за параметрами 802.11n, швидкості, відомості про інших сусідів та інше. Аутентифікація визначає, як клієнт представляється точці. Можливі варіанти:
- Open- так звана відкрита мережа, в якій всі пристрої, що підключаються, авторизовані відразу
- Shared- справжність пристрою, що підключається, повинна бути перевірена ключем/паролем
- EAP- справжність пристрою, що підключається, повинна бути перевірена за протоколом EAP зовнішнім сервером
- None- відсутність шифрування, дані передаються у відкритому вигляді
- WEP- заснований на алгоритмі RC4 шифр з різною довжиною статичного чи динамічного ключа (64 або 128 біт)
- CKIP- пропрієтарна заміна WEP від Cisco, ранній варіант TKIP
- TKIP- покращена заміна WEP з додатковими перевірками та захистом
- AES/CCMP- найбільш досконалий алгоритм, заснований на AES256 з додатковими перевірками та захистом
Комбінація Open Authentication, No Encryptionшироко використовується в системах гостьового доступу на зразок надання Інтернету в кафе або готелі. Для підключення потрібно знати лише ім'я бездротової мережі. Найчастіше таке підключення комбінується з додатковою перевіркою на Captive Portal шляхом редиректу користувача HTTP-запиту на додаткову сторінку, на якій можна запитати підтвердження (логін-пароль, згоду з правилами тощо).
Шифрування WEPскомпрометовано, і використовувати його не можна (навіть у разі динамічних ключів).
Терміни, що широко зустрічаються WPAі WPA2визначають, власне, алгоритм шифрування (TKIP чи AES). У силу того, що вже досить давно клієнтські адаптери підтримують WPA2 (AES), застосовувати шифрування за алгоритмом TKIP немає сенсу.
Різниця між WPA2 Personalі WPA2 Enterpriseполягає в тому, звідки беруться ключі шифрування, які у механіці алгоритму AES. Для приватних (домашніх, дрібних) застосувань використовується статичний ключ (пароль, кодове слово, PSK (Pre-Shared Key)) мінімальної довжиною 8 символів, що задається в налаштуваннях точки доступу, і у всіх клієнтів бездротової мережі однаковим. Компрометація такого ключа (пробовталися сусідові, звільнений співробітник, вкрадений ноутбук) вимагає негайної зміни пароля у всіх користувачів, що залишилися, що реалістично тільки у разі невеликого їх числа. Для корпоративних застосувань, як випливає з назви, використовується динамічний ключ, індивідуальний для кожного клієнта, що працює в даний момент. Цей ключ може періодично оновлюватись по ходу роботи без розриву з'єднання, і за його генерацію відповідає додатковий компонент - сервер авторизації, і майже завжди це RADIUS-сервер.
Усі можливі параметри безпеки зведені у цій табличці:
| Властивість | Статичний WEP | Динамічний WEP | WPA | WPA 2 (Enterprise) |
| Ідентифікація | Користувач, комп'ютер, карта WLAN | Користувач, комп'ютер |
Користувач, комп'ютер |
Користувач, комп'ютер |
| Авторизація |
Загальний ключ |
EAP |
EAP або спільний ключ |
EAP або спільний ключ |
Цілісність |
32-bit Integrity Check Value (ICV) |
32-bit ICV |
64-bit Message Integrity Code (MIC) |
CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code - CCM) Part of AES |
Шифрування |
Статичний ключ |
Сесійний ключ |
Попакетний ключ через TKIP |
CCMP (AES) |
Розподіл ключів |
Одноразове, вручну |
Сегмент Pair-wise Master Key (PMK) |
Похідне від PMK |
Похідне від PMK |
Вектор ініціалізації |
Текст, 24 біти |
Текст, 24 біти |
Розширений вектор, 65 біт |
48-бітний номер пакета (PN) |
Алгоритм |
RC4 |
RC4 |
RC4 |
AES |
Довжина ключа, біт |
64/128 |
64/128 |
128 |
до 256 |
Необхідна інфраструктура |
Ні |
RADIUS |
RADIUS |
RADIUS |
Якщо з WPA2 Personal (WPA2 PSK) все зрозуміло, корпоративне рішення потребує додаткового розгляду.
WPA2 Enterprise
Тут ми маємо справу із додатковим набором різних протоколів. На стороні клієнта спеціальний компонент програмного забезпечення, supplicant (зазвичай частина ОС) взаємодіє з авторизуючою частиною AAA сервером. У цьому прикладі відображено роботу уніфікованої радіомережі, побудованої на легковажних точках доступу та контролері. У разі використання точок доступу «з мізками» всю роль посередника між клієнтами та сервером може на себе взяти сама точка. При цьому дані клієнтського суппліканта по радіо передаються сформованими протоколом 802.1x (EAPOL), а на стороні контролера вони обертаються в RADIUS-пакети.
Застосування механізму авторизації EAP у вашій мережі призводить до того, що після успішної (майже напевно відкритої) автентифікації клієнта точкою доступу (спільно з контролером, якщо він є), остання просить клієнта авторизуватися (підтвердити свої повноваження) у інфраструктурного RADIUS-сервера:
Використання WPA2 Enterpriseпотребує наявності у вашій мережі RADIUS-сервера. На сьогоднішній момент найбільш працездатними є такі продукти:
- Microsoft Network Policy Server (NPS), колишній IAS- конфігурується через MMC, безкоштовний, але треба купити винду
- Cisco Secure Access Control Server (ACS) 4.2, 5.3- конфігурується через веб-інтерфейс, наворочений за функціоналом, дозволяє створювати розподілені та відмовостійкі системи, коштує дорого
- FreeRADIUS- Безкоштовний, конфігурується текстовими конфігами, в управлінні та моніторингу не зручний
При цьому контролер уважно спостерігає за обміном, що відбувається, і чекає успішної авторизації, або відмови в ній. При успіху RADIUS-сервер здатний передати точці доступу додаткові параметри (наприклад, в якій VLAN помістити абонента, який йому привласнити IP-адресу, профіль QoS і т.п.). На завершення обміну RADIUS-сервер дає можливість клієнту та точці доступу згенерувати та обмінятися ключами шифрування (індивідуальними, валідними тільки для даної сеcсії):
EAP
Сам протокол EAP є контейнерним, тобто фактичний механізм авторизації дається відкуп внутрішніх протоколів. На даний момент скільки-небудь значне поширення набули такі:- EAP-FAST(Flexible Authentication via Secure Tunneling) – розроблений фірмою Cisco; дозволяє проводити авторизацію за логіном-паролем, що передається всередині TLS тунелю між супплікантом та RADIUS-сервером
- EAP-TLS(Transport Layer Security). Використовує інфраструктуру відкритих ключів (PKI) для авторизації клієнта та сервера (супліканта та RADIUS-сервера) через сертифікати, виписані довіреним центром (CA). Вимагає виписування та встановлення клієнтських сертифікатів на кожен бездротовий пристрій, тому підходить лише для керованого корпоративного середовища. Сервер сертифікатів Windows має засоби, що дозволяють клієнту самостійно генерувати сертифікат, якщо клієнт - член домену. Блокування клієнта легко здійснюється відгуком його сертифіката (чи через облікові записи).
- EAP-TTLS(Tunneled Transport Layer Security) аналогічний EAP-TLS, але під час створення тунелю не потрібен клієнтський сертифікат. У такому тунелі, аналогічному SSL-з'єднанню браузера, виконується додаткова авторизація (за паролем або ще).
- PEAP-MSCHAPv2(Protected EAP) - схожий на EAP-TTLS у плані початкового встановлення шифрованого TLS тунелю між клієнтом і сервером, що вимагає серверного сертифіката. Надалі в такому тунелі відбувається авторизація за відомим протоколом MSCHAPv2
- PEAP-GTC(Generic Token Card) – аналогічно попередньому, але вимагає карт одноразових паролів (і відповідної інфраструктури)
Усі ці методи (крім EAP-FAST) вимагають наявності сертифіката сервера (на RADIUS-сервері), виписаного центром, що засвідчує (CA). При цьому сертифікат CA повинен бути присутнім на пристрої клієнта в групі довірених (що неважко реалізувати засобами групової політики в Windows). Додатково EAP-TLS вимагає індивідуального клієнтського сертифіката. Перевірка справжності клієнта здійснюється як за цифровим підписом, так (опціонально) порівняно з наданим клієнтом сертифікатом RADIUS-серверу з тим, що сервер витягнув з PKI-інфраструктури (Active Directory).
Підтримка будь-якого з EAP методів має забезпечуватися суплікантом на стороні клієнта. Стандартний, вбудований у Windows XP/Vista/7, iOS, Android забезпечує як мінімум EAP-TLS і EAP-MSCHAPv2, що зумовлює популярність цих методів. З клієнтськими адаптерами Intel під Windows поставляється утиліта ProSet, яка розширює доступний список. Це робить Cisco AnyConnect Client.
Наскільки це надійно
Зрештою, що потрібно зловмисникові, щоб зламати вашу мережу?Для Open Authentication, No Encryption – нічого. Підключився до мережі і все. Оскільки радіосередовище відкрито, сигнал поширюється на різні боки, заблокувати його непросто. За наявності відповідних клієнтських адаптерів, що дозволяють прослуховувати ефір, мережевий трафік видно так само, ніби атакуючий підключився до проводу, хаб, SPAN-порт комутатора.
Для шифрування, заснованого на WEP, потрібен лише час на перебір IV, і одна з багатьох доступних утиліт сканування.
Для шифрування, заснованого на TKIP чи AES пряме дешифрування можливе теоретично, але практично випадки злому не траплялися.
Звичайно, можна спробувати підібрати ключ PSK або пароль до одного з EAP-методів. Поширені атаки на ці методи не відомі. Можна намагатися застосувати методи соціальної інженерії, або
Часто виникає питання: який тип шифрування Wi-Fi вибрати для домашнього маршрутизатора. Здавалося б дріб'язок, але при некоректних параметрах, до мережі та з передачею інформації по Ethernet-кабелю можуть виникнути проблеми.
Тому ми розглянемо, які типи шифрування даних підтримують сучасні WiFi роутери, і що тип шифрування aes відрізняється від популярного wpa і wpa2.
Тип шифрування бездротової мережі: як вибрати спосіб захисту?
Отже, всього існує 3 типи шифрування:
- 1. WEP шифрування
Тип шифрування WEP з'явився ще в далеких 90-х і був першим варіантом захисту Wi-Fi мереж: він позиціонувався як аналог шифрування в провідних мережах і застосовував шифр RC4. Існували три поширені алгоритми шифрування переданих даних - Neesus, Apple і MD5 - але кожен з них не забезпечував належного рівня безпеки. У 2004 році IEEE оголосили стандарт застарілим через те, що він остаточно перестав забезпечувати безпеку підключення до мережі. В даний момент такий тип шифрування для wifi використовувати не рекомендується, тому що. він є криптостойким.
- 2.WPS- це стандарт, що не передбачає використання. Для підключення до роутера досить просто натиснути на відповідну кнопку, про яку ми докладно розповідали у статті.
Теоретично WPS дозволяє підключитися до точки доступу за восьмизначним кодом, проте на практиці часто достатньо лише чотирьох.
Цим фактом спокійнісінько користуються численні хакери, які досить швидко (за 3 - 15 годин) зламують мережі wifi, тому використовувати дане з'єднання також не рекомендується.
- 3.Тип шифрування WPA/WPA2
Куди краще справи з шифруванням WPA. Замість вразливого шифру RC4 тут використовується шифрування AES, де довжина пароля – довільна величина (8 – 63 біта). Даний тип шифрування забезпечує нормальний безпековий рівень безпеки, і цілком підходить для простих wifi маршрутизаторів. При цьому існує два його різновиди:
Тип PSK (Pre-Shared Key) – підключення до точки доступу здійснюється за допомогою заздалегідь заданого пароля.
- Enterprise – пароль для кожного сайту генерується автоматично з перевіркою на серверах RADIUS.
Тип шифрування WPA2 є продовженням WPA з покращенням безпеки. У цьому протоколі застосовується RSN, основу якого лежить шифрування AES.
Як і шифрування WPA, тип WPA2 має два режими роботи: PSK і Enterprise.
З 2006 року тип шифрування WPA2 підтримується всім Wi-Fi обладнанням, відповідне гео можна вибрати для будь-якого маршрутизатора.
TKIP та AES – це два альтернативні типи шифрування, які застосовуються в режимах безпеки WPA та WPA2. У налаштуваннях безпеки бездротової мережі в роутерах та точках доступу можна вибирати один із трьох варіантів шифрування:
- TKIP;
- TKIP+AES.
Вибираючи останній (комбінований) варіант, клієнти зможуть підключатися до точки доступу, використовуючи будь-який з двох алгоритмів.
TKIP чи AES? Що краще?
Відповідь: для сучасних пристроїв однозначно більше підходить алгоритм AES.
Використовуйте TKIP тільки в тому випадку, якщо при виборі першого у вас виникають проблеми (це іноді буває, що при використанні шифрування AES зв'язок з точкою доступу обривається або не встановлюється взагалі. Зазвичай це називають несумісністю обладнання).
В чому різниця
AES – це сучасний та безпечніший алгоритм. Він сумісний зі стандартом 802.11n та забезпечує високу швидкість передачі даних.
TKIP є застарілим. Він має нижчий рівень безпеки і підтримує швидкість передачі даних аж до 54 Мбіт/сек.
Як перейти з TKIP на AES
Випадок 1. Точка доступу працює в режимі TKIP+AES
У цьому випадку вам достатньо змінити тип шифрування на пристроях клієнта. Найпростіше це зробити, вилучивши профіль мережі та підключившись до неї заново.
Випадок 2. Точка доступу використовує лише TKIP
В цьому випадку:
1. Спочатку зайдіть на веб-інтерфейс точки доступу (або роутера відповідно). Змініть шифрування на AES та збережіть налаштування (докладніше читайте нижче).
2. Змініть шифрування на клієнтських пристроях (докладніше – у наступному параграфі). І знову ж таки, простіше забути мережу і підключитися до неї заново, ввівши ключ безпеки.
Увімкнення AES-шифрування на роутері
На прикладі D-Link
Зайдіть у розділ Wireless Setup.
Натисніть кнопку Manual Wireless Connection Setup.
Встановіть режим безпеки WPA2-PSK.
Знайдіть пункт Cipher Typeта встановіть значення AES.
Натисніть Save Settings.
На прикладі TP-Link
Відкрийте розділ Wireless.
Виберіть пункт Wireless Security.
В полі VersionВиберіть WPA2-PSK.
В полі EncryptionВиберіть AES.
Натисніть кнопку Save:
Зміна типу шифрування бездротової мережі у Windows
Windows 10 та Windows 8.1
У цих версіях ОС немає розділу. Тому тут три варіанти зміни шифрування.
Варіант 1. Windows сама виявить розбіжність параметрів мережі та запропонує заново ввести ключ безпеки. При цьому правильний алгоритм шифрування буде встановлено автоматично.
Варіант 2. Windows не зможе підключитися і запропонує забути мережу, відобразивши відповідну кнопку:
Після цього ви зможете підключитися до мережі без проблем, т.к. її профіль буде видалено.
Варіант 3.Вам доведеться видаляти профіль мережі вручну через командний рядок і потім підключатися до мережі заново.
Виконайте наступні дії:
1 Запустіть командний рядок.
2 Введіть команду:
Netsh wlan show profiles
для виведення списку збережених профілів бездротової мережі.
3 Тепер введіть команду:
Netsh wlan delete profile "ім'я вашої мережі"
видалення вибраного профілю.
Якщо ім'я мережі містить пробіл (наприклад "wifi 2"), Візьміть його в лапки.
На зображенні показані всі описані дії:
4 Тепер на панелі завдань натисніть іконку бездротової мережі.
5 Виберіть мережу.
6 Натисніть Підключитися:
7 Введіть ключ безпеки.
Windows 7
Тут все простіше та наочніше.
1 На панелі завдань натисніть іконку бездротової мережі.
3 Натисніть на посилання Управління бездротовими мережами:
4 Натисніть правою кнопкою миші за профілем потрібної мережі.
5 Виберіть Властивості:
Увага! На цьому кроці можна також натиснути Видалити мережуі просто підключитися до неї заново! Якщо ви вирішите зробити так, далі читати не потрібно.
6 Перейдіть на вкладку Безпека.
Ця стаття присвячена питанню безпеки під час використання бездротових мереж WiFi.
Вступ - вразливість WiFi
Головна причина вразливості даних, коли ці дані передаються через мережі WiFi, полягає в тому, що обмін відбувається по радіохвилі. А це дає можливість перехопити повідомлення в будь-якій точці, де фізично доступний сигнал WiFi. Спрощено кажучи, якщо сигнал точки доступу можна вловити на дистанції 50 метрів, перехоплення всього мережевого трафіку цієї WiFi мережі можливе в радіусі 50 метрів від точки доступу. У сусідньому приміщенні, на іншому поверсі будівлі, на вулиці.
Уявіть таку картину. В офісі локальна мережа збудована через WiFi. Сигнал точки доступу цього офісу ловиться за межами будівлі, наприклад, на автостоянці. Зловмисник, за межами будівлі, може отримати доступ до офісної мережі, тобто непомітно для власників цієї мережі. До мереж WiFi можна отримати доступ легко та непомітно. Технічно значно легше, ніж до провідних мереж.
Так. На сьогоднішній день розроблено та впроваджено засоби захисту WiFi мереж. Такий захист заснований на шифруванні всього трафіку між точкою доступу та кінцевим пристроєм, який підключений до неї. Тобто радіосигнал перехопити зловмисник може, але для нього це буде просто цифрове сміття.
Як працює захист WiFi?
Точка доступу включає в свою WiFi мережу тільки той пристрій, який надішле правильний (вказаний в налаштуваннях точки доступу) пароль. У цьому пароль теж пересилається зашифрованим, як хеша. Хеш це результат незворотного шифрування. Тобто дані, переведені в хеш, розшифрувати не можна. Якщо зловмисник перехопить хеш пароля, він не зможе отримати пароль.
Але як точка доступу дізнається правильний вказаний пароль чи ні? Якщо вона також отримує хеш, а розшифрувати його не може? Все просто – в налаштуваннях точки доступу пароль вказаний у чистому вигляді. Програма авторизації бере чистий пароль, створює з нього хеш і потім порівнює цей хеш із отриманим від клієнта. Якщо хеші збігаються означає у клієнта пароль правильний. Тут використовується друга особливість хешей – вони унікальні. Одноманітний хеш не можна отримати із двох різних наборів даних (паролей). Якщо два хеші збігаються, то вони обидва створені з однакового набору даних.
До речі. Завдяки цій особливості хеш використовуються для контролю цілісності даних. Якщо два хеші (створені з проміжком часу) збігаються, значить вихідні дані (за цей проміжок часу) не були змінені.
Тим не менш, незважаючи на те, що найбільш сучасний метод захисту WiFi мережі (WPA2) надійний, ця мережа може бути зламана. Яким чином?
Є дві методики доступу до мережі під захистом WPA2:
- Підбір пароля на основі паролів (так званий перебір за словником).
- Використання вразливості у функції WPS.
У першому випадку зловмисник перехоплює хеш пароля до точки доступу. Потім за базою даних, у якій записані тисячі, чи мільйони слів, виконується порівняння хешів. Зі словника береться слово, генерується хеш для цього слова і потім цей хеш порівнюється з тим хешом, який був перехоплений. Якщо на точці доступу використовується примітивний пароль, тоді зламування пароля, цієї точки доступу, питання часу. Наприклад, пароль з 8 цифр (довжина 8 символів це мінімальна довжина пароля для WPA2) це один мільйон комбінацій. На сучасному комп'ютері зробити перебір одного мільйона значень можна за кілька днів або годин.
У другому випадку використовується вразливість у перших версіях функції WPS. Ця функція дозволяє підключити до точки доступу пристрій, на якому не можна ввести пароль, наприклад, принтер. При використанні цієї функції пристрій та точка доступу обмінюються цифровим кодом і якщо пристрій надішле правильний код, точка доступу авторизує клієнта. У цій функції була вразливість – код був із 8 цифр, але унікальність перевірялася лише чотирма з них! Тобто для злому WPS потрібно зробити перебір всіх значень, які дають 4 цифри. В результаті зламування точки доступу через WPS може бути виконаний буквально за кілька годин, на будь-якому, найслабшому пристрої.
Налаштування захисту мережі WiFi
Безпека мережі WiFi визначається настройками точки доступу. Декілька цих налаштувань прямо впливають на безпеку мережі.
Режим доступу до мережі WiFi
Точка доступу може працювати в одному з двох режимів – відкритому або захищеному. У разі відкритого доступу, підключитися до точки досуту може будь-який пристрій. У разі захищеного доступу підключається лише той пристрій, який передає правильний пароль доступу.
Існує три типи (стандарту) захисту WiFi мереж:
- WEP (Wired Equivalent Privacy). Найперший стандарт захисту. Сьогодні фактично не забезпечує захист, оскільки зламується дуже легко завдяки слабкості механізмів захисту.
- WPA (Wi-Fi Protected Access). Хронологічно другий стандарт захисту. На момент створення та введення в експлуатацію забезпечував ефективний захист WiFi мереж. Але наприкінці нульових років було знайдено можливості для злому захисту WPA через уразливість у механізмах захисту.
- WPA2 (Wi-Fi Protected Access). Останній стандарт захисту. Забезпечує надійний захист за дотримання певних правил. На сьогоднішній день відомі лише два способи злому захисту WPA2. Перебір пароля за словником та обхідний шлях через службу WPS.
Таким чином, для забезпечення безпеки WiFi необхідно вибирати тип захисту WPA2. Однак, не всі клієнтські пристрої можуть його підтримувати. Наприклад, Windows XP SP2 підтримує лише WPA.
Крім вибору стандарту WPA2, необхідні додаткові умови:
Використовувати метод шифрування AES.
Пароль для доступу до мережі WiFi необхідно складати так:
- Використовуйтелітери та цифри у паролі. Довільний набір букв і цифр. Або дуже рідкісне, значуще лише для вас, слово чи фразу.
- Невикористовуйте прості паролі на кшталт ім'я + дата народження, або якесь слово + кілька цифр, наприклад lena1991або dom12345.
- Якщо потрібно використовувати тільки цифровий пароль, його довжина повинна бути не менше 10 символів. Тому що восьмисимвольний цифровий пароль підбирається шляхом перебору за реальний час (від декількох годин до декількох днів, залежно від потужності комп'ютера).
Якщо ви будете використовувати складні паролі відповідно до цих правил, то вашу WiFi мережу не можна буде зламати методом підбору пароля за словником. Наприклад, для пароля виду 5Fb9pE2a(довільний буквено-цифровий), максимально можливо 218340105584896 комбінацій. Сьогодні це практично неможливо для підбору. Навіть якщо комп'ютер порівнюватиме 1 000 000 (мільйон) слів на секунду, йому знадобиться майже 7 років для перебору всіх значень.
WPS (Wi-Fi Protected Setup)
Якщо точка доступу має функцію WPS (Wi-Fi Protected Setup), потрібно вимкнути її. Якщо ця функція необхідна, переконайтеся, що її версія оновлена до наступних можливостей:
- Використання всіх 8 символів пінкод замість 4-х, як це було спочатку.
- Увімкнення затримки після кількох спроб передачі неправильного пінкоду з боку клієнта.
Додаткова можливість покращити захист WPS – це використання цифробуквенного пінода.
Безпека громадських мереж WiFi
Сьогодні модно користуватися Інтернет через WiFi мережі у громадських місцях – у кафе, ресторанах, торгових центрах тощо. Важливо розуміти, що використання таких мереж може призвести до крадіжки ваших персональних даних. Якщо ви входите в Інтернет через таку мережу і потім виконуєте авторизацію на будь-якому сайті, ваші дані (логін і пароль) можуть бути перехоплені іншою людиною, яка підключена до цієї ж мережі WiFi. Адже на будь-якому пристрої, який пройшов авторизацію і підключений до точки доступу, можна перехоплювати мережевий трафік з усіх інших пристроїв цієї мережі. А особливість громадських мереж WiFi у тому, що до неї може підключитися будь-який бажаючий, у тому числі зловмисник, причому не лише до відкритої мережі, а й захищеної.
Що можна зробити для захисту своїх даних, при підключенні до Інтернету через громадську мережу WiFi? Є лише одна можливість – використовувати протокол HTTPS. В рамках цього протоколу встановлюється зашифроване з'єднання між клієнтом (браузером) та сайтом. Але не всі веб-сайти підтримують протокол HTTPS. Адреси на сайті, що підтримує протокол HTTPS, починаються з префіксу https://. Якщо адреси на сайті мають префікс http:// це означає, що на сайті немає підтримки HTTPS або вона не використовується.
Деякі сайти за умовчанням не використовують HTTPS, але мають цей протокол і його можна використовувати, якщо явним чином (вручну) вказати префікс https://.
Що стосується інших випадків використання Інтернету - чати, скайп і т.д, то для захисту цих даних можна використовувати безкоштовні або платні сервери VPN. Тобто спочатку підключатися до сервера VPN, а потім використовувати чат або відкритий сайт.
Захист пароля WiFi
У другій і третій частинах цієї статті я писав про те, що у разі використання стандарту захисту WPA2, один із шляхів злому WiFi мережі полягає у підборі пароля за словником. Але для зловмисника є ще одна можливість отримати пароль до вашої мережі WiFi. Якщо ви зберігаєте пароль на стікері, приклеєному до монітора, це дає можливість побачити цей пароль сторонній людині. А ще ваш пароль може бути викрадений з комп'ютера, який підключений до вашої WiFi мережі. Це може зробити стороння людина, якщо ваші комп'ютери не захищені від доступу сторонніх. Це можна зробити за допомогою шкідливої програми. Крім того пароль можна вкрасти і з пристрою, який виноситься за межі офісу (будинки, квартири) - зі смартфона, планшета.
Таким чином, якщо вам потрібний надійний захист вашої мережі WiFi, необхідно вживати заходів і для надійного зберігання пароля. Захищати його від сторонніх осіб.
Якщо вам виявилася корисною або просто сподобалася ця стаття, тоді не соромтеся - підтримайте матеріально автора. Це легко зробити закинувши грошики на Яндекс Гаманець № 410011416229354. Або на телефон +7 918-16-26-331 .
Навіть невелика сума може допомогти написання нових статей:)
